Acesso rápido:

• O que é e como funciona uma ferramenta IDS ?
• Sistemas baseados em Rede (NIDS)
• Sistemas baseados em Host (HIDS)
  

A detecção de Intrusão é uma das áreas de maior expansão, pesquisa e investimento na segurança em redes de computadores. Com o grande crescimento da interconexão de computadores em todo o mundo, materializado pela Internet, é verificado um conseqüente aumento nos tipos e no número de ataques a esses sistemas, gerando uma complexidade muito elevada para a capacidade dos tradicionais mecanismos de prevenção. Para maioria das aplicações atuais, desde redes corporativas simples até sistemas de e-commerce ou aplicações bancárias, é praticamente inviável a simples utilização de mecanismos que diminuam a probabilidade de eventuais ataques.

Um ataque força, em casos extremos, causa interrupções totais dos serviços para que um lento e oneroso processo de auditoria e de posterior restauração manual seja feito. Isso justifica todo o investimento feito visando a criação de mecanismos que ultrapassem a barreira da simples prevenção, garantindo aos sistemas um funcionamento contínuo e correto mesmo na presença de falhas de segurança, principal objetivo dos chamados Sistemas de Detecção de Intrusão (IDS - Intrusion Detection Systems).

Basicamente, podemos definir IDS como uma ferramenta inteligente capaz de detectar tentativas de invasão em tempo real. Esses sistemas podem atuar de forma a somente alertar as tentativas de invasão, como também em forma reativa, aplicando ações necessárias contra o ataque.

Em outras palavras o IDS é um sistema de configurações e regras que tem como objetivo gerar alertas quando detectar pacotes que possam fazer parte de um possível ataque.

Existem diversos tipos de ferramentas IDS para diferentes plataformas, porém as ferramentas IDS trabalham basicamente de modo parecido, ou seja, analisando os pacotes que trafegam na rede e comparando-os com assinaturas já prontas de ataques, identificando-os de forma fácil e precisa qualquer tipo de anomalia ou ataque que possa vir a ocorrer em sua rede/computador.

Uma ferramenta IDS serve basicamente para nos trazer informações sobre nossa rede, informações como:

• Quantas tentativas de ataques sofremos por dia;
• Qual tipo de ataque foi usado;
• Qual a origem dos ataques;

Enfim, a partir dele, você vai tomar conhecimento do que realmente se passa em sua rede e em casos extremos, poderá tomar as medidas cabíveis para tentar solucionar qualquer problema.

• Sistemas baseados em Rede (NIDS) - Estes tipos de sistemas são colocados na rede, perto do sistema ou sistemas a serem monitorados. Eles examinam o tráfego de rede e determinam se estes estão dentro de limites aceitáveis.
  

• Sistemas baseados em Host (HIDS) - Estes tipos de sistemas rodam no sistema que está sendo monitorado. Estes examinam o sistema para determinar quando a atividade no sistema é aceitável.
  

A grande parte dos sistemas comerciais de detecção de intrusão é baseada em rede.
Nesse tipo de IDS os ataques são capturados e analisados através de pacotes de rede.
Ouvindo um segmento de rede, o NIDS pode monitorar o tráfego afetando múltiplas estações que estão conectadas ao segmento de rede, assim protegendo essas estações.

Os NIDSs também podem consistir em um conjunto de sensores ou estações espalhados por vários pontos da rede. Essas unidades monitoram o tráfego da rede, realizando análises locais do tráfego e reportando os ataques a um console central. As estações que rodam esses sensores devem estar limitadas a executar somente o sistema de IDS, para se manterem mais seguras contra ataques. Muitos desses sensores rodam num modo chamado "stealth", de maneira que torne mais difícil para o atacante determinar as suas presenças e localizações.

Segundo BECE, podemos destacar as vantagens do IDS baseados em rede:

A implementação de um NIDS tem pouco impacto sobre a performance da rede. Eles geralmente ficam em modo passivo, apenas escutando o tráfego da rede sem interferir no seu funcionamento. NIDs bem posicionados podem monitorar uma grande rede. Os IDSs baseados em rede podem ser muito seguros contra a maioria dos ataques, além de ficarem invisíveis aos atacantes.

E também as desvantagens:

Os NIDs podem ter dificuldade em processar todos os pacotes em uma rede que possua um grande tráfego de dados. Eles não podem analisar o tráfego de informações criptografadas Esse problema vem aumentando em função da utilização de VPNs pelas organizações (e pelos
atacantes também).

Muitas vantagens dos NIDSs não se aplicam mais as modernas redes baseadas em switches. Os switches dividem as redes em pequenos segmentos (usualmente uma estação por porta) e provêm ligações lógicas diretas entre as estações no mesmo equipamento. A maioria dos switchs não tem um sistema de monitoramento de portas e isso limita ao NIDS apenas analisar uma estação. Mesmo que o switch possua o recurso de monitoramento, apenas uma porta não poderá receber todo o tráfego passando pelo equipamento.

A maioria dos NIDSs não podem reconhecer se um ataque foi bem sucedido. Eles apenas apontam que um ataque foi iniciado. Dessa maneira eles apenas detectam um ataque, sendo que o administrador de sistemas deve verificar se o host apontado foi atacado.

Alguns IDSs baseados em rede têm problemas em lidar com pacotes de dados fragmentados. Esses tipos de pacotes podem até tornar um NIDs instável ou mesmo travar o seu funcionamento.

Os HIDSs operam sobre informações coletadas em computadores individuais.
Através disso os HIDs podem analisar as atividades das estações com confiança e precisão, determinando exatamente quais processos e usuários estão envolvidos em um tipo particular de ataque no sistema operacional. Além disso, ao contrário dos sistemas baseados em rede, os baseados em host (estação) podem ver as conseqüências de uma tentativa de ataque, como eles podem acessar diretamente e monitorar os arquivos e processos do sistema usualmente alvos de ataques.

Alguns HIDSs suportam um gerenciamento centralizado e relatórios que podem permitir que um apenas um console possa gerenciar várias estações. Outros geram mensagens em formatos que são compatíveis com os sistemas de gerenciamento de redes.

Segundo BECE, podemos descrever as vantagens dos IDSs baseados em host:

Esse tipo de IDS tem a capacidade de monitorar eventos locais de um host, podendo detectar ataques que não poderiam ser detectados por um IDS de rede. Eles podem operar em um ambiente onde o tráfego de rede é criptografado, a informação é analisada antes de ser criptografada na origem, ou depois de ser decriptada no destino.

Quando o IDS de host opera em nível de sistema operacional, ele pode ajudar a detectar 'Trojan Horses' ou outros tipos de ataques que envolvam problemas de integridade nos programas.

E também as desvantagens:

Esse tipo de IDS é difícil de se gerenciar porque cada host monitorado precisa ser configurado.
Como as informações utilizadas para análise do HIDS estão armazenadas no host, um atacante pode invadir o sistema e desabilitar essas funcionalidades.

Os HIDSs não podem reconhecer ataques que sejam destinados a rede inteira porque apenas conseguem monitorar os pacotes de redes recebidos pelo próprio host.